McAfee 8.5i昨天出RC版了,我对McAfee的还颇具好感,于是down回来测试了一下。总体来说8.5i拿8.0i还是有不少有价值的改进,其中访问保护功能的增加对应对如今新式的各种安全威胁有一定的作用。
不过我习惯了追求完美,习惯挑刺,谈谈McAfee 8.5i的弱点。当然McAfee 8.5i比最近刚出来的诺顿网络网络安全特警2007好的多,诺顿太“中规中矩”,没什么亮点,更无法防御如今日新月异的各种网络安全威胁。
McAfee 8.5i具有了禁止其他程序写自启动项、写服务、加载驱动、向Windows目录以及系统目录写如可执行文件等功能。这些功能对防御恶意程序有着一定的作用。但是McAfee 8.5i设计时从可用性以及易用性的角度引入的白名单设计,比如允许名为setup.exe的进程写服务、加载驱动、向系统目录里写文件,从而使后门木马编写者突破McAfee 8.5i的访问保护变得很容易。原本我们还得写驱动直接与FSD打交道直接发IRP写文件至系统目录,现在都不用烦了。比如可以这样:先释放真正的后门文件到C:\setup.exe,然后就bypass了,因为setup.exe写服务、加载驱动、写服务到系统目录McAfee不报。
从信息安全产品设计的角度,应慎用白名单,即使使用的话一定要配合HASH效验等的措施。但是McAfee 8.5i白名单仅仅依靠进程名称判断,此方案使其本具有的强大威力大减……
当然,还是可以理解McAfee 8.5i的初衷的,设计时考虑到了易用性,以及可能使用在服务器上,从而没有应用交互式询问的用户的方法,但是,如果光光依靠“智能判断”,整体安全强度不会达到我们满意的高度。
=========
值得一提的是,McAfee 8.5i 对摘除文件系统过滤驱动有了防范,摘除时会BSOD
from:neeao
